什么是CodeQL?CodeQL从入门到入土 常见语法总结 不同版本CodeQL切换的注意点 继承&实现 污点追踪 java代码和xml文件关联 获取指定注解 获取指定方法 显示源码位置 查询...
03月01日13 views评论codeql
rce
什么是CodeQL?CodeQL从入门到入土
03月01日13 views评论codeql
rce
03月01日13 views评论codeql
rce
hessian反序列化漏洞之Groovy链(代码分析)
Groovy更新到这里应该是hessian合集里的最后一篇文章了!如果喜欢作者文章的话,点个赞帮忙分享一下,如有不对的地方请大佬指出,对这方面感兴趣的师傅可以加个v 交流一下经验。文章不易多多支持!!...
02月24日18 views评论struct
反序列化漏洞
IDA 自动化分析!HexRaysAST —— 代码模式匹配利器!—— 反混淆利器!
项目介绍有没有想过让你的逆向工程更加高效?让我来介绍 HexRaysAST,一个简单的 PoC(Proof of Concept),让你能定义抽象语法树(AST)模式,然后对这些模式进行各种魔法操作!...
01月15日56 views评论ida
xray
Google 是如何落地静态代码分析的
Google 是如何落地静态代码分析的?0x00 前言本篇文章为我在读 Google 落地静态代码分析的 Paper 《Lessons from Building Static Analysis To...
01月05日安全新闻19 viewsGoogle 是如何落地静态代码分析的已关闭评论paper
review
人与代码的桥梁 - 聊聊SAST
一前 言自从人类发明了工具开始,人类就在不断为探索如何更方便快捷的做任何事情,在科技发展的过程中,人类不断地试错,不断地思考,于是才有了现代伟大的科技时代。 在安全领域里,每个安全研究人员在研究的过程...
12月21日21 views评论eval
代码
如何利用SCA静态代码分析工具快速发现漏洞
Static Code Analysis(SCA)静态代码分析技术,可以帮助开发人员快速扫描代码中存在的问题,对于开源软件安全研究也是一种非常高效的手段。本文介绍如何使用静态代码分析工具,在大型开源项...
11月24日16 views评论sca
代码
无文件勒索病毒的发现技术原理解析
01引言随着黑客攻击手段的不断进化,无文件勒索病毒成为了一种日益增多的威胁。相比传统勒索病毒,无文件勒索病毒无需使用可执行文件,通过利用操作系统漏洞和脚本语言,如PowerShell等,使得其执行的恶...
10月27日24 views评论勒索病毒
恶意代码
OpenRefine Zip Slip 任意代码执行-CVE-2023-37476
OpenRefine Zip Slip 漏洞:简介 OpenRefine是一个基于Java的开源数据清理和转换工具。这包括加载不同类型的数据、清理、转换和扩展。所有这些都可以通过浏览器访问 OpenR...
09月30日57 views评论代码分析
开源项目
最新时间注入攻击和代码分析技术
点击星标,即时接收最新推文本文选自《web安全攻防渗透测试实战指南(第2版)》点击图片五折购书时间注入攻击时间注入攻击的测试地址在本书第2章。访问该网址时,页面返回yes;在网址的后面加上一个单引号,...
09月22日44 views评论代码分析
注入攻击
【nginxWebUI两部曲之一】nginxWebUI runCmd远程命令执行漏洞历史版本代码分析
nginxWebUI runCmd远程命令执行漏洞 目录: 0x01 漏洞描述:0x02 漏洞复现:0x03 漏洞分析(3.4.6版本):0...
07月24日52 views评论命令执行
远程命令执行漏洞
JDI自动代码审计分析的可能
我经常对半自动化代码审计的工具会有个小小的问点,无论是现今所谓的静态代码分析还是自动化代码分析工具,他们的注重点永远的都是挖掘源代码的漏洞。但是很多情况下会有到这样的问题:public class T...
07月05日13 views评论servlet
代码审计
源代码安全之自动化扫描工具Checkmarx
源代码安全之自动化扫描工具Checkmarx 前言 "安全左移"是指在软件生命周期的早期阶段采取预防措施来解决安全问题,以减少在生产环境中解决安全风险所需的时间、金钱等成本,并避免更大的安全风险,它已...
06月16日100 views评论ast
代码